萬字解讀 |《人臉識別技術應用安全管理規定(試行)》(征求意見稿)
作者:張丹 夏星悅 2023-08-09國家互聯網信息辦公室起草了《人臉識別技術應用安全管理規定(試行)(征求意見稿)》(以下簡稱“管理規定”),并于2023年8月8日向社會公開征求意見。本文將結合以往人臉識別技術以及人臉信息的相關合規要求對該管理規定的重要條款進行解讀,以茲探討。
第一部分 人臉識別技術的基本原理及其應用
在對管理規定進行解讀之前,我們首先帶領各位讀者了解一下人臉識別技術的基本原理和主要應用場景,以及如若不當利用該技術可能帶來的潛在風險。
人臉識別,顧名思義,是一種基于人臉圖像或視頻中面部特征和模式的技術,旨在對個體進行身份認證、識別和驗證。它通過將輸入的人臉圖像與已知人臉圖像庫中的信息進行比對,從而判斷該人臉是否屬于已知的個體。人臉識別技術主要使用計算機視覺和模式識別算法進行分析和比對,通過以下步驟完成:
1. 人臉檢測:系統通過檢測圖像或視頻中的人臉位置,確定感興趣的區域。
2. 特征提取:系統對檢測到的人臉進行特征提取,從面部的幾何結構、紋理和顏色等方面提取關鍵的面部特征。
3. 特征比對:系統將提取的人臉特征與已知的個體特征進行比對,通常采用匹配算法,如特征向量比對、神經網絡等,判斷是否存在匹配。
4. 結果輸出:系統根據比對結果,輸出識別的結果,即確定該人臉的身份或提供相應的訪問權限。
人臉識別技術的應用非常廣泛,包括安全門禁、人員考勤、視頻監控、移動支付等領域。隨著技術的不斷發展和改進,人臉識別技術的準確率和魯棒性也在不斷提高,為我們的生活和工作帶來了便捷和安全性。但與此同時,人臉信息被濫用的情況也不斷發生,如不具備信息安全保障能力的企業獲取人臉信息后發生數據泄露;一些平臺未經用戶單獨同意,使用其人臉信息進行廣告定向投放等其他授權范圍以外的使用;利用取得的人臉信息盜用他人身份甚至將人臉圖像合成到其他視頻或照片中,造成對他人財產或聲譽的損害,侵犯他人權益。
第二部分 人臉信息規范使用的相關規定一覽
面對人臉識別技術使用所帶來的隱私和安全問題,我國陸續出臺了一系列針對人臉信息規范使用的規定及國家標準,包括如下(僅節選部分關聯度高的內容):
一、《中華人民共和國個人信息保護法》
第二十六條 在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,并設置顯著的提示標識。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的,不得用于其他目的;取得個人單獨同意的除外。
二、《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》
第二條 信息處理者處理人臉信息有下列情形之一的,人民法院應當認定屬于侵害自然人人格權益的行為:
(一)在賓館、商場、銀行、車站、機場、體育場館、娛樂場所等經營場所、公共場所違反法律、行政法規的規定使用人臉識別技術進行人臉驗證、辨識或者分析;
(二)未公開處理人臉信息的規則或者未明示處理的目的、方式、范圍;
(三)基于個人同意處理人臉信息的,未征得自然人或者其監護人的單獨同意,或者未按照法律、行政法規的規定征得自然人或者其監護人的書面同意;
(四)違反信息處理者明示或者雙方約定的處理人臉信息的目的、方式、范圍等;
(五)未采取應有的技術措施或者其他必要措施確保其收集、存儲的人臉信息安全,致使人臉信息泄露、篡改、丟失;
(六)違反法律、行政法規的規定或者雙方的約定,向他人提供人臉信息;
(七)違背公序良俗處理人臉信息;
(八)違反合法、正當、必要原則處理人臉信息的其他情形。
三、《信息安全技術 個人信息安全規范》(GB/T 35273-2020)
6.3 個人敏感信息的傳輸和存儲
對個人信息控制者的要求包括:
a)傳輸和存儲個人敏感信息時,應采用加密等安全措施;
b)個人生物識別信息應與個人身份信息分開存儲;
c)原則上不應存儲原始個人生物信息(如樣本、圖像等),可采取的措施包括但不限于: 1)僅存儲個人生物識別信息的摘要信息;2)在采集終端中直接使用個人生物識別信息實現身份識別、認證等功能;3)在使用面部識別特征、指紋、掌紋、虹膜等實現身份、認證等功能后刪除可提取個人生物識別信息的原始圖像。
9.4 個人信息公開披露
個人信息原則上不應公開披露。個人信息控制者經法律授權或具備合理事由確需公開披露時,應符合以下要求:
f)不應公開披露個人生物識別信息。
四、《信息安全技術 人臉識別數據安全要求》(GB/T 41819-2022)
5 安全通用要求
數據處理者處理人臉識別數據的安全通用要求如下:
a)實現相同目的或達到同等安全要求可采用非人臉識別方式的,應優先選擇適用非人臉識別方式。
b)應僅在人臉識別方式比非人臉識別方式更具安全性或便捷性時,采用人臉識別方式進行身份識別;應同時提供人臉識別方式和非人臉識別方式,并由自然人選擇使用。
c)不應誘導自然人使用人臉識別方式,包括但不限于將人臉識別方式作為身份識別首選方式或默認方式,設置障礙使自然人難以選擇使用非人臉方式等。
d)在自然人拒絕使用人臉識別方式后,不應頻繁提示以獲得自然人對人臉識別方式的同意,例如,在48h內提示次數超過1次。
e)應符合GB/T 35273,GB/T 40660,GB/T 41479 的要求,以及 GB/T 37988中數據安全能力成熟度等級3規定的要求。
f)應在處理人臉識別數據前自行或委托第三方機構按照GB/T 39335規定的要求開展個人信息保護影響評估,評估的內容包括但不限于:
…(略)…
五、《信息安全技術 個人信息處理中告知和同意的實施指南》(GB/T 42574-2023)
在人臉識別購物柜臺張貼或通過屏幕展示簡要的個人信息處理規則,并在用戶單獨同意后采集個人信息。
出于公共安全之外目的在公共場所采集個人圖像、身份識別信息的,需取得用戶的單獨同意。當用戶拒絕時,公共場合管理者需提供合理替代性方案,例如,人工的服務通道,無需刷臉認證的門禁,不通過人臉識別的支付方式等。
為應對緊急情況下保護自然人的生命健康和財產安全所必需,例如,車輛在發生交通事故將位置信息、生命體征信息等傳輸給急救中心及交管部門,或車輛在被盜時將位置信息、人臉識別信息等上傳云端并同步至移動智能終端,可適用免于取得用戶同意的情形。
六、《網絡數據安全管理條例(征求意見稿)》
第二十五條 數據處理者利用生物特征進行個人身份認證的,應當對必要性、安全性進行風險評估,不得將人臉、步態、指紋、虹膜、聲紋等生物特征作為唯一的個人身份認證方式,以強制個人同意收集其個人生物特征信息。
第三部分 新規解讀
本文以下將對本次新出臺的管理規定的重要條款進行一一解讀,希望幫助讀者理解其中的合規要求與注意要點。
第二條 在中華人民共和國境內利用人臉識別技術處理人臉信息,提供人臉識別技術產品或者服務,應當遵守本規定。法律、行政法規另有規定的從其規定。
本規定的適用范圍不僅包括利用人臉識別技術處理人臉信息的主體,也包括提供人臉識別技術產品或者服務的主體。
第四條 只有在具有特定的目的和充分的必要性,并采取嚴格保護措施的情形下,方可使用人臉識別技術處理人臉信息。實現相同目的或者達到同等業務要求,存在其他非生物特征識別技術方案的,應當優先選擇非生物特征識別技術方案。
使用人臉識別技術驗證個人身份、辨識特定自然人的,鼓勵優先使用國家人口基礎信息庫、國家網絡身份認證公共服務等權威渠道。
本條第一款的前半句與《個人信息保護法》(以下稱《個保法》)第二十八條表述相同,人臉信息毫無疑問屬于敏感個人信息,應遵守《個保法》中關于敏感個人信息的合規要求;后半句與《網絡數據安全管理條例(征)》第二十五條異曲同工,均要求企業在非必要收集人臉信息的場景下應提供替代性方案且優先選擇非生物特征識別技術方案。如員工考勤的場景下,企業應優先選擇員工卡打卡或地理位置獲取的方式,而應慎重選擇人臉識別或指紋識別的考勤方案。
針對本條第二款,在人臉識別的場景下,一種是通過人臉識別確認“你就是你”,一種是通過人臉識別確認“你是誰”。無論哪一種場景都需要在數據庫中調用已有的人臉特征參照進行比對,也就是說需要對比源。對比源通常來源于兩個渠道,一是在特定場景下,個人信息主體事先向收集主體提供了人臉圖像,為了確保個人信息主體就是注冊者本人,收集主體通常還會進行活體檢測,通過正面照、側面照、隨機動作等自動采集最佳人臉照片并提取人臉特征作為對比參照;一是來源于其他存有人臉特征信息的數據庫,全國公民身份號碼查詢服務中心(NCIIC)曾是主要對比源,很多公司間接采取NCIIC身份證返照接口的照片,進行消網紋處理進行比對,還有一些運營商偷偷緩存數據,并將數據二次加工提供給其他企業進行身份驗證,我們認為,此條的目的旨在讓人臉信息收集主體使用權威公信的渠道。
第五條 使用人臉識別技術處理人臉信息應當取得個人的單獨同意或者依法取得書面同意。法律、行政法規規定不需取得個人同意的除外。
本條與《個保法》第二十九條表述相同,單獨同意是個人針對其個人信息進行特定處理活動而專門作出具體、明確授權的行為,是一種增強的同意方式,在取得單獨同意之前,需通過增強告知或即時提示的方式專門向個人進行充分告知。單獨同意所針對的處理活動不應與其他個人信息處理活動相捆綁或混同在其他同意事項中,避免一攬子取得個人同意。當然,如處理人臉信息屬于《個保法》第十三條中“同意”以外的其他合法性基礎,則無需取得單獨同意。
第六條 旅館客房、公共浴室、更衣室、衛生間及其他可能侵害他人隱私的場所不得安裝圖像采集、個人身份識別設備。
《民法典》第一千零三十二條規定了自然人享有的隱私權,任何組織或者個人不得侵害。隱私是自然人的私人生活安寧和不愿為他人知曉的私密空間、私密活動、私密信息。面對社會中經常出現的如酒店客房隱秘安裝攝像頭的社會現象,本條也明確了在可能侵害他人隱私的場所不得安裝具備圖像采集、個人身份識別的設備。
第七條 在公共場所安裝圖像采集、個人身份識別設備,應當為維護公共安全所必需,遵守國家有關規定,設置顯著提示標識。
在公共場所安裝圖像采集、個人身份識別設備的建設、使用、運行維護單位,對獲取的個人圖像、身份識別信息負有保密義務,不得非法泄露或者對外提供。所收集的個人圖像、身份識別信息只能用于維護公共安全的目的,不得用于其他目的;取得個人單獨同意的除外。
此條與《個保法》第二十六條所述相近,但是本條增加了在公共場所安裝圖像采集、個人身份識別設備的建設、使用、運行維護單位的保密義務,這里不僅包括了個人信息處理者,也包括了圖像采集設備提供方、服務方的保密義務。
第八條 組織機構為實施內部管理安裝圖像采集、個人身份識別設備的,應當根據實際需求合理確定圖像信息采集區域,采取嚴格保護措施,防止違規查閱、復制、公開、對外提供、傳播個人圖像等行為,防止個人信息泄露、篡改、丟失或者被非法獲取、非法利用。
一般企業有兩種場景采集人臉圖像,一種是企業內公共區域的監控,一種是人臉識別考勤。常規來說,企業基于場所安全、公司或員工人身、財產安全而安裝監控設備,當安全事件發生時向調查機構、司法部門、安全部門或物業管理公司提供,數據會存儲在位于機房的主機上,數據保存時間約為90~120天,之后會被自動覆蓋刪除。對于監控數據和考勤收集的人臉數據,企業應采取嚴格的技術保護措施,尤其設置嚴格的訪問權限,防止個人信息被非法傳播、利用。
對于基于服務需收集員工以外人臉信息的主體,如銀行、車站、機場、賓館等,更應當遵守本條規定采取嚴格措施保護人臉數據的安全,防止個人信息泄露、篡改、丟失或者被非法獲取、非法利用。
第九條 賓館、銀行、車站、機場、體育場館、展覽館、博物館、美術館、圖書館等經營場所,除法律、行政法規規定應當使用人臉識別技術驗證個人身份的,不得以辦理業務、提升服務質量等為由強制、誤導、欺詐、脅迫個人接受人臉識別技術驗證個人身份。
個人自愿選擇使用人臉識別技術驗證個人身份的,應當確保個人充分知情并在個人主動參與的情況下進行,驗證過程中應當以清晰易懂的語音或者文字等方式即時明確提示身份驗證的目的。
此條第一款與《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》第二條第一款相呼應,賓館、商場、銀行、車站、機場、體育場館、娛樂場所等經營場所、公共場所使用人臉識別技術進行人臉驗證、辨識或者分析應不違反法律、行政法規的規定。
此條第二款提到了個人信息主體的知情權,在個人自愿選擇使用人臉識別技術驗證個人身份時,應充分知曉個人信息處理者的處理目的、方式、范圍等,個人信息處理者應以清晰易懂的語音或者文字等方式告知。如采集人臉信息的設備不配備顯示屏,個人信息處理者可通過(在屏幕直接顯示或在印刷包裝上)提供二維碼、網絡地址鏈接(URL)等方式引導用戶獲取告知內容,或者采用語音播報方式提示重要內容。
第十條 在公共場所、經營場所使用人臉識別技術遠距離、無感式辨識特定自然人,應當為維護國家安全、公共安全或者為緊急情況下保護自然人生命健康和財產安全所必需,并由個人或者利害關系人主動提出。
人臉識別技術使用者應個人或者利害關系人請求使用人臉識別技術遠距離、無感式辨識特定個人或者利害關系人的,應當將相關服務限定在最小必要的時間、地點或者人群范圍內,不得關聯與個人請求事項無直接必然相關的個人信息。
遠距離人臉技術識別是一種利用攝像頭或其他遠程感應設備來識別和辨認遠距離人臉的技術。這種技術通常使用專門的算法和模型來檢測和提取人臉特征,然后與事先存儲的人臉數據庫進行比對,以實現人臉識別的功能。與傳統的人臉識別相比,遠距離人臉技術識別主要應用于較遠距離的場景,例如監控視頻中的人臉識別、人群分析以及公共安全等領域,該技術通常需要具備較高的計算能力和算法優化,以應對遠距離拍攝帶來的圖像模糊、噪聲干擾等問題。
本條第二款體現了個人信息處理的必要性原則,即“將相關服務限定在最小必要的時間、地點或者人群范圍內”;我們認為“必要性原則”在個人信息處理中的具體要求主要有以下幾點,使用人臉識別技術遠距離、無感式辨識特定個人或者利害關系人的亦應注意必要性的合規要求:
(1)收集的個人信息應具有明確、合理、具體的個人信息處理目的;
(2)個人信息處理應當與擬實現的信息處理目的直接相關。
(3)個人信息處理應當限于實現處理目的之最小范圍。
(4)個人信息處理應當采取對個人權益影響最小的方式。
(5)個人信息的保存期限應當限于實現處理目的的最短期限。
第十一條 除維護國家安全、公共安全或者為緊急情況下保護自然人生命健康和財產安全所必需,或者取得個人單獨同意外,任何組織或者個人不得利用人臉識別技術分析個人種族、民族、宗教信仰、健康狀況、社會階層等敏感個人信息。
此條集中在處理目的限制上,種族、民族、宗教信仰、健康狀況、社會階層等信息不僅屬于敏感個人信息,也屬于個人隱私。個人信息處理者單獨利用人臉識別技術難以評價種族、民族、宗教信仰、健康狀況、社會階層等信息,但是如結合其他可獲取的個人信息,則有可能作出評價,該等處理目的不僅可能侵犯自然人的個人信息權益,也可能侵犯自然人享有的隱私權,因而本條將該等處理目的限制在兩種前提之下,其他合法性基礎則不適用。
第十二條 涉及社會救助、不動產處分等個人重大利益的,不得使用人臉識別技術替代人工審核個人身份,人臉識別技術可以作為驗證個人身份的輔助手段。
在金融賬戶線上操作場景中,雖然銀行或支付機構通過遠程人臉識別技術結合支付密碼、短信驗證碼等其他技術手段可以遠程確認操作者的身份,繼而操作者可以通過轉賬、提現、理財等行為對個人金融賬戶中的資金進行支配,然而金融機構對操作者的線上支配金額設有上限,如果個人提高上限,需要其他手段進行資金安全的加持。因而,我們認為,本條款的含義并不是在社會救助、不動產處分場景中不能使用人臉識別技術確認個人身份而是不能單獨使用/依賴人臉識別技術確認個人身份,縱使人臉識別技術已經日新月異,仍舊不能達到十分安全的程度,還需要人工審核加持這種可靠性。
正如在醫療行業,醫生對于患者的診斷不能完全依賴于AI智能工具,還需要醫生對每項自動化診斷結果進行復核并承擔相應的責任,AI工具僅僅是輔助手段。對個人權益影響較大的場景不能完全依賴于某項技術,一旦出現技術上的紕漏或失誤,將對個人信息權益造成嚴重影響,但是我們認為本條僅僅列舉兩種涉及個人重大利益的場景并不能有效地規制實踐中的人臉識別技術的濫用。
第十四條 物業服務企業等建筑物管理人不得將使用人臉識別技術驗證個人身份作為出入物業管理區域的唯一方式,個人不同意通過人臉信息進行身份驗證的,物業服務企業等建筑物管理人應當提供其他合理、便捷的身份驗證方式。
此條與《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》第十條內容一致,同時也是本規定第四條的具體場景應用,目前已有不少的司法實踐案例。
在近期的某一案例中,物業方提供了兩種入門方式,一種是通過人臉識別,一種是使用帶有芯片的門禁卡,業主訴請法院要求物業拆除小區全部人臉識別系統裝置,法院認為物業安裝人臉識別設備的目的是為了小區出行便利,且已取得相關業主的單獨授權,同時,物業也提供了可供業主選擇的其他入門方式,物業并無侵權故意,因而駁回了該業主的訴請。
第十五條 人臉識別技術使用者處理人臉信息,應當事前進行個人信息保護影響評估,并對處理情況進行記錄。
個人信息保護影響評估主要包括下列內容:
(一)是否符合法律、行政法規的規定和國家標準的強制性要求,是否符合倫理道德;
(二)處理人臉信息是否具有特定的目的和充分的必要性;
(三)是否限于實現目的所必需的準度、精度及距離要求;
(四)采取的保護措施是否合法有效并與風險程度相適應;
(五)發生或者可能發生人臉信息泄露、篡改、丟失、毀損或者被非法獲取、非法利用的風險以及可能造成的危害;
(六)可能對個人權益帶來的損害和影響,以及降低不利影響的措施是否有效。
個人信息保護影響評估報告應當至少保存三年。處理人臉信息的目的、方式發生變化,或者發生重大安全事件的,人臉識別技術使用者應當重新進行個人信息保護影響評估。
《最高人民法院關于審理使用人臉識別技術處理個人信息相關民事案件適用法律若干問題的規定》規定“人臉信息”屬于民法典第一千零三十四條規定的“生物識別信息”,而“生物識別信息”屬于《個保法》項下的“敏感個人信息”,因此需要遵循《個保法》項下關于敏感個人信息的相關規定。《個保法》第五十五條要求個人信息處理者在處理敏感個人信息前應當進行事先的個人信息保護影響評估,并在第五十六條進一步規定了個人信息影響評估應當包含的內容。
對于評估內容,本條借鑒了《信息安全技術 人臉識別數據安全要求》(GB/T 41819-2022)第5條第f)款的規定內容。而與《個保法》第五十六條規定的評估內容相比,本條規定進一步要求,對于處理人臉信息的個人信息保護影響評估,應當對“是否符合法律、行政法規的規定和國家標準的強制性要求,是否符合倫理道德”、“是否限于實現目的所必需的準度、精度及距離要求”、“發生或者可能發生人臉信息泄露、篡改、丟失、毀損或者被非法獲取、非法利用的風險以及可能造成的危害”等方面進行評估,評估的顆粒度更加細致。其中,對于是否符合倫理道德的評估,可從是否會對個人人格尊嚴、個人隱私和信息保護、是否涉及歧視和偏見、是否影響社會安全和可持續發展等方面進行評價。
第十六條 在公共場所使用人臉識別技術,或者存儲超過1萬人人臉信息的人臉識別技術使用者,應當在30個工作日內向所屬地市級以上網信部門備案。申請備案應當提交下列材料:
(一)人臉識別技術使用者及其個人信息保護負責人的基本情況;
(二)處理人臉信息的必要性說明;
(三)人臉信息的處理目的、處理方式和安全保護措施;
(四)人臉信息的處理規則和操作規程;
(五)個人信息保護影響評估報告;
(六)網信部門認為需要提供的其他材料。
人臉識別技術使用者處理人臉信息,有法律、行政法規規定應當保密的,按有關規定執行。
備案信息發生實質性變更的,應在變更之日起20個工作日內辦理備案變更手續。終止人臉識別技術使用的,應在終止之日起30個工作日內辦理備案注銷手續。
本條為本次《人臉識別技術應用安全管理規定(試行)(征)》的創設性規定,要求兩類主體須至所屬地市級網信部門進行備案。這要求相關企業在使用人臉識別技術之前,應事先評估人臉識別技術使用的必要性和合法性等事項、并建立健全企業內部人臉信息處理的相關制度、操作規程及相應的安全保障措施,并應按節奏開展個人信息保護影響評估工作。
對于針對人臉信息的個人信息保護影響評估報告的時效性問題,參考國家網信辦此前發布的《個人信息出境標準合同備案指南(第一版)》中要求的“個人信息保護影響評估工作為備案之日前3個月內完成”,不排除后續各地市級網信部門亦會發布相應的指南或指引作出類似要求,建議企業動態關注。在企業完成處理人臉信息的相關信息備案工作后,亦建議在內部建立持續跟蹤機制,在備案信息發生實質變化或停止人臉識別技術使用后,注意及時完成相關登記手續。
第十七條 除法定條件或者取得個人單獨同意外,人臉識別技術使用者不得保存人臉原始圖像、圖片、視頻,經過匿名化處理的人臉信息除外。
面向社會公眾提供人臉識別技術服務的,相關技術系統應當符合網絡安全等級保護第三級以上保護要求,并采取數據加密、安全審計、訪問控制、授權管理、入侵檢測和防御等措施保護人臉信息安全。屬于關鍵信息基礎設施的,還應當符合關鍵信息基礎設施安全保護的相關要求。
針對此條第一款,《信息安全技術 個人信息安全規范》第6.3條第c)款規定,原則上不應存儲原始個人生物識別信息(如樣本、圖像等),可采取的措施包括但不限于,在使用面部識別特征、指紋、掌紋、虹膜等識別身份、認證功能后刪除可提取個人生物識別信息的原始圖像。此外,《信息安全技術 人臉識別數據安要求》第5條第j)款規定,除非經數據主體單獨同意或書面同意,不應存儲人臉圖像。本條在此基礎上進一步加強了人臉原始圖像、圖片、視頻的存儲要求,個人信息處理者如若保存人臉原始圖像、圖片、視頻,只有法定條件或者取得個人單獨同意這兩種合法性基礎。
針對此條第二款,《信息安全技術 人臉識別數據安全要求》第5條e)款要求數據處理者應符合GB/T 35273,GB/T 40660,GB/T 41479 的要求,以及 GB/T 37988中數據安全能力成熟度等級3規定的要求。我們認為,本條第二款中的“網絡安全等級保護第三級以上保護要求”等進一步明確了個人信息處理者所應具備的數據安全防護能力和個人信息保護能力。
第十八條 使用人臉識別技術處理人臉信息應當盡量避免采集與提供服務無關的人臉信息,無法避免的,應當及時刪除或者進行匿名化處理。
《個保法》第六條規定了目的明確與最小化處理原則,即處理個人信息應當具有明確合理的目的,并且應當與處理目的直接相關,采用對個人信息權益影響最小的方式,本條規定即是對《個保法》第六條項下原則的貫徹。尤其在遠距離人臉識別技術應用當中,不可避免地會采集到與提供服務無關的人臉信息,本條明確了個人信息處理者的應遵守的處理方式,即,及時刪除或匿名化處理。
第十九條 人臉識別技術使用者應當每年對圖像采集設備、個人身份識別設備的安全性和可能存在的風險進行檢測評估,并根據檢測評估情況改進安全策略,調整置信度閾值,采取有效措施保護圖像采集設備、個人身份識別設備免受攻擊、侵入、干擾和破壞。
正如《關鍵信息基礎設施安全保護條例》第十七條的規定,運營者應當自行或者委托網絡安全服務機構對關鍵信息基礎設施每年至少進行一次網絡安全檢測和風險評估,對發現的安全問題及時整改,并按照保護工作部門要求報送情況。同樣,本條亦對圖像采集設備、個人身份識別設備提出了類似的合規要求,以保障人臉信息存儲使用的持續安全。
第二十條 按照國家有關規定列入網絡關鍵設備和網絡安全專用產品目錄的圖像采集設備、個人身份識別設備,應當按照相關國家標準的強制性要求,由具備資格的機構認證合格或者檢測符合要求后,方可銷售或者提供。
本條與《網絡安全法》第二十三條規定相呼應,要求特定圖像采集設備、個人身份識別設備必須通過法定認證、檢測后才能進入市場。
第二十一條 網信部門會同電信主管部門、公安機關、市場監管部門等有關部門依據職責,加強對人臉識別技術使用的監督檢查,指導督促人臉識別技術使用者履行備案手續,及時發現安全隱患并督促限期整改。
人臉識別技術使用者、產品或者服務提供者應當對有關部門依法開展的監督檢查予以配合。
本條明確了本規定的相關監督檢查主管部門,包括網信部門、電信主管部門、公安機關、市場監管部門等。
第二十三條 人臉識別技術使用者或者相關產品、服務提供者違反本規定的,由網信、電信、公安、市場監管等有關部門在職責范圍內依照《中華人民共和國網絡安全法》《中華人民共和國數據安全法》《中華人民共和國個人信息保護法》等法律法規進行處罰。違反《治安管理處罰法》的,依法給予治安管理處罰;構成犯罪的,依法追究刑事責任。
違反本規定,給他人造成損害的,依法承擔民事責任。
本條規定了違反本規定,人臉識別技術使用者或者相關產品、服務提供者可能會承擔相關民事、行政或刑事責任。
結語
本次管理規定(征求意見稿)的發布,可以顯示國家對人臉識別技術的應用以及處理人臉識別信息的監管的重視,以及更加明確、細致的合規要求的態勢。因此,相關企業可參考本次管理規定的相關內容,適時開展內部相關合規體檢并相應完善內部制度、流程,以確保相關業務的合法、合規性。
